Trasparenza · Responsabilità · Conformità
Policy del sito EVIL
EVIL è una piattaforma per studio, simulazione e difesa in cybersecurity. L'accesso e l'uso degli strumenti implicano l'accettazione delle regole qui descritte. In caso di dubbio su un'attività, non procedere senza autorizzazione scritta del titolare dei sistemi.
Ultimo aggiornamento: giugno 2026 · Versione 1.0
1. Missione e finalità
EVIL (Educational Vulnerability & Intelligence Lab) offre contenuti didattici, quiz, laboratori virtuali, mappe di incidenti da fonti pubbliche e strumenti di analisi orientati alla comprensione delle minacce e alla difesa.
Non promuove, facilita né tollera attività offensive contro sistemi, reti o persone senza base legale e autorizzazione esplicita. Le tecniche mostrate servono a formare professionisti, team SOC e studenti nel rispetto dell'etica e della legge.
2. Uso consentito
È consentito utilizzare EVIL per:
- Apprendimento personale o in contesti accademici e aziendali di formazione sulla sicurezza informatica.
- Esercitazioni nei lab virtuali e simulatori della piattaforma, progettati come ambienti isolati e didattici.
- Analisi di URL, header HTTP, DNS o file di tua proprietà o per cui hai mandato scritto dal titolare.
- Consultazione di intelligence da fonti pubbliche (CVE, feed incidenti, dataset storici) nel rispetto delle licenze delle fonti.
- Preparazione a certificazioni e quiz interni, senza condivisione di credenziali o bypass di controlli di accesso altrui.
3. Uso vietato
È espressamente vietato:
- Attaccare, scansionare in modo aggressivo o compromettere sistemi, reti o account senza autorizzazione scritta.
- Usare conoscenze o strumenti acquisiti su EVIL per frode, estorsione, stalking, diffamazione o qualsiasi reato.
- Distribuire malware, exploit funzionanti contro terzi o materiale che violi diritti di terzi.
- Eludere rate limit, autenticazione o misure di sicurezza della piattaforma o di servizi esterni.
- Raccogliere dati personali di terzi (OSINT incluso) in violazione di GDPR, privacy o termini dei servizi consultati.
- Presentare dati simulati o di esempio come prove reali in contesti legali, commerciali o giornalistici senza dichiararlo.
4. Penetration test e valutazioni su sistemi reali
Qualsiasi attività di security assessment, vulnerability scan invasivo o penetration test su infrastrutture reali richiede autorizzazione scritta del cliente o del proprietario, con scope, tempi e tecniche definite.
Prima di iniziare un test reale, documenta almeno:
- Lettera o contratto di autorizzazione firmato.
- Perimetro (IP, domini, applicazioni, esclusioni).
- Finestre temporali e contatti di emergenza.
- Tecniche consentite e vietate (es. denial of service, social engineering su dipendenti).
- Regole su dati sensibili, retention e distruzione dei dump.
5. Simulazioni, dati di esempio e lab
Molte sezioni di EVIL utilizzano dati simulati, mock o scenari didattici (lab 10.42.x.x, quiz, timeline formative, cataloghi malware descrittivi). Badge e avvisi in pagina indicano quando il contenuto non rappresenta un incidente live o una minaccia attiva.
| Tipo | Significato |
|---|---|
| Simulato / Lab | Ambiente controllato; nessun impatto su reti pubbliche. |
| Mock / Demo | Dati di esempio per illustrare concetti. |
| Fonti pubbliche | CVE, feed o dataset open; verificare sempre la fonte originale. |
6. Strumenti di analisi e OSINT
Check URL, enumerazione DNS, analisi header, ricognizione dominio e moduli OSINT sono pensati per valutazione difensiva e ricerca, non per ricognizione offensiva non autorizzata.
- Rispetta i termini di servizio dei target e le leggi applicabili (Italia, UE e giurisdizione del titolare).
- Non usare la piattaforma per saturare servizi altrui (rate limit e fair use).
- Non caricare file contenenti malware reale verso terzi; l'analisi file in locale usa il browser quando possibile.
- I risultati sono indicativi: non sostituiscono audit professionali né pareri legali.
7. Account, privacy e dati
La registrazione può richiedere email e dati di profilo necessari al servizio (autenticazione, progressi, recupero password). I dati sono trattati per erogare la piattaforma, non venduti a terzi per marketing.
Principi applicati
- Minimizzazione: raccogliamo solo ciò che serve al funzionamento del servizio.
- Sicurezza: password con hash, token in cookie httpOnly dove previsto, HTTPS in produzione.
- Diritti dell'interessato: puoi richiedere rettifica o cancellazione account secondo le modalità indicate in piattaforma.
- Log tecnici: conservati per sicurezza e diagnostica per periodi limitati.
In ambiente di sviluppo locale i dati possono risiedere su file del tuo computer (users.json);
non sono sincronizzati automaticamente con l'istanza di produzione.
8. Conformità legale e proprietà intellettuale
L'utente è responsabile di rispettare leggi nazionali e internazionali applicabili al proprio ruolo e territorio. Contenuti, marchi e software della piattaforma restano di proprietà dei rispettivi titolari; è vietata la riproduzione commerciale non autorizzata.
Link a risorse esterne (CVE, GitHub, feed incidenti) non implicano endorsement; verifica sempre licenze e attribuzioni delle fonti citate.
9. Limitazione di responsabilità
EVIL è fornito «così com'è», per scopi formativi. Non garantiamo assenza di errori nei contenuti, completezza delle analisi automatiche né idoneità a decisioni operative, contrattuali o legali.
Gli operatori della piattaforma non sono responsabili per danni derivanti da uso improprio, violazione di queste policy o mancata verifica delle autorizzazioni su sistemi di terzi.
10. Modifiche alle policy
Queste policy possono essere aggiornate per riflettere nuovi strumenti, requisiti legali o miglioramenti di sicurezza. La data in testa indica l'ultima revisione significativa. L'uso continuato del sito dopo la pubblicazione delle modifiche costituisce accettazione della versione corrente.
Utilizzando EVIL confermi di aver letto queste policy e di impegnarti a un uso etico, difensivo e conforme alla legge.